Ja. CDS/CDNSKEY, som er beskrevet i RFC 8078, er en standard for signalering via DNS om, at DNSSEC-parametre skal opdateres. Dette gør det nemt for dem, der administrerer navneserverne, at slå DNSSEC til/fra eller rulle nøgler uden at skulle involvere registratoren og uden at skulle uploade DNSSEC-data via EPP eller web.
Domæneshop understøtter CDS/CDNSKEY på to forskellige måder:
- For domæner, der benytter Domæneshops navneservere, men hvor Domæneshop ikke er registrator, publicerer vi automatisk CDS/CDNSKEY pegere i DNS for at signalere til moderzonen, hvilke DNSSEC parametre (dvs. DS records) der skal være aktive. I øjeblikket er der kun en lille håndfuld topdomæner (.ch, .li, .nu, .se og .sk), hvor registry'et aktivt scanner for CDS/CDNSKEY-poster, men flere andre (bl.a. .no og .dk ) har planer om at tilbyde dette til sin tid.
- For domæner, der ikke benytter Domæneshops navneservere, men hvor Domæneshop er registrator, tjekker vi dagligt for CDS/CDNSKEY pegere i DNS. Hvis vi opdager at navneserverne publicerer CDS/CDNSKEY pegere, der ikke matcher de aktive DS/DNSKEY pegere for zonen, opdaterer vi dette automatisk via EPP og sender en mail til kontoadministratoren for domænet med information om hvilke ændringer der har blevet lavet. Mange store DNS-udbydere såsom Cloudflare, Wix og Google Domains vil automatisk publicere CDS/CDNSKEY-poster, når DNSSEC er aktiveret. Disse vil derefter blive opfanget af vores system, hvilket gør DNSSEC-administration sikker og enkel.
For domæner, der både bruger Domæneshops navneservere og hvor Domæneshop er registrator, anvendes CDS/CDNSKEY ikke. Her bliver DNSSEC i stedet opdateret direkte via EPP.